vServer gehackt, wie server wiederherstellen?

[sofromt]

Hallo,

kleines bis größeres Problem, habe gestern folgendes Mail bekommen:

Sehr geehrter Kunde,

aufgrund von illegalen Tätigkeiten über Ihr System, waren wir gezwungen den Server zu sperren.

Illegale Tätigkeiten eines Systems meint zumeist einer oder mehrere der folgenden Tatbestände:

- DoS Attacken die von Ihrem System ausgehen.
- Phishingseiten die auf Ihrem System gespeichert werden
- Bruteforce Attacken die von Ihrem System ausgehen.
- Spam der über Ihren Server versandt wurde.
- Urheberrechtlich geschütztes Material welches über Ihren Server zugänglich gemacht worden ist.

Derartige illegale Tätigkeiten werden meist von Hackern ausgeführt, nachdem diese sich Zugang zu einen fremden Server verschafft haben..............

Und darauf dann dieses:

... wurde wegen eines aktuell laufenden IRC-bots gesperrt.
Bitte den Kunden informieren.

Filename: /var/www/web3/html/components/com_securityimages/.../psybnc
Bottyp: iroffer - IRC file sharing bot - The Official iroffer Website - Home

Wahrscheinlicher Installationszeitpunkt: 2007-05-23T18:49:04+0200

Vollstaendige Prozessumgebung:

-----------------------------------------------------------------------------
LANG=C
OLDPWD=/var/www/web3/html/components/com_rsgallery2
PATH=/usr/local/bin:/usr/bin:/bin
PWD=/var/www/web3/html/components/com_securityimages/...
SHLVL=2
_=./xh
---------------------------------------------------------------------------
.........

Hab die pdf unterschrieben und das System im Rescue-Mode starten lassen. Wie soll ich nun vorgehen um die Webs sowie die Confixx- und Mail-Einstellungen zu sichern?
Ich möchte die relevanten Daten sichern und danach das System neu installieren, selbstverständlich mit einem möglichst geringen Aufwand um die 9 Webseiten und ihre Mailboxen wieder lauffähig zu bekommen


mfg

sofromt


--------------- Nachtrag -------------------
Hab /var/www/web3/html/components/com_securityimages/.../psybnc gelöscht, da haben mir die Spaßvögel einen Film hochgeladen.
Desweiteren habe ich per find überprüft welche dateien in den letzten 5 tagen erstellt wurden, dahingehend nichts auffälliges gefunden.

 

[Firewire2002]

Solangsam kann mans echt nicht mehr lesen, jede Woche ein neuer und keiner nutzt die Boardsuche.

1. Versteh erstmal was ein iRoffer ist und weshalb der Film auf deinem Server lag.
Ich vermute du hast keine Ahnung was das ist.

2. Logfiles lesen

3. Schwachstelle suchen, finden, verstehen, Lösung suchen
Aufgrund des Speicherortes geh ich von einem PHP/Perl-Script oder CGI Prog des Users web3 aus.

4. Backup der Daten (/backup/ bleibt bei Neuinstallation bestehen)
MySQL Datenbanken können mit einem Dump gesichert werden.

5. Neuinstallieren

6. Absichern

7. Daten zurückspielen

 

[sofromt]

Solangsam kann mans echt nicht mehr lesen, jede Woche ein neuer und keiner nutzt die Boardsuche.

Boardsuche verwendet, nicht wirklich was hilfreiches gefunden.

1. Versteh erstmal was ein iRoffer ist und weshalb der Film auf deinem Server lag.
Ich vermute du hast keine Ahnung was das ist.

Hab ich, IRC-Fileserver Bot, senden über DCC files

2. Logfiles lesen

bereits durch sawmill gejagt und ausgewertet

3. Schwachstelle suchen, finden, verstehen, Lösung suchen

schon den ganzen tag dran und mit den TripWire Datenbanken von letzter woche auch fündig geworden.

Aufgrund des Speicherortes geh ich von einem PHP/Perl-Script oder CGI Prog des Users web3 aus.

neee, echt?

4. Backup der Daten (/backup/ bleibt bei Neuinstallation bestehen)

hab ich nicht gewusst, danke

MySQL Datenbanken können mit einem Dump gesichert werden.

ebenfalls schon vor rund 5 stunden gemacht

5. Neuinstallieren

Passiert bald, dann aber ganz bestimmt ohne confixx

6. Absichern

Werde der Doku wieder folgen.

Es ging mir hauptsächlich um confixx, da dieses Teil meint jede config wo anderst ablegen zu müssen und absolut nicht dorthin wo ich sie erwarte.

Bin bis jetzt auch selbst zurecht gekommen. Vielen Dank.

 

[Firewire2002]

Wenn du eh alles kannst und weißt bzw. bereits alles gemacht hast, was erhoffst du dir von diesem Thread?

Achso es sollte vielleicht noch erwähnt werden, das /backup/ nur bei Server4You vServern/RootDS bei einer Neuinstallation bestehen bleibt.
(Die Mailausschnitte liesen auf Server4You schließen.)

Sollte es ein anderer Hoster sein, sollte dies evtl. bei diesem Nachgefragt werden!

 

[sofromt]

Wenn du eh alles kannst und weißt

Kann bestimmt nicht alles und ich bin weder Leonhard Euler noch im entferntesten mit ihm verwand, also fällt das mit dem "alles wissen" auch weg.

bzw. bereits alles gemacht hast, was erhoffst du dir von diesem Thread?

Hab mit s4y server keine Erfahrung, genau wie mit confixx, erhoffte mir ein paar hilfreiche tips die einem das leben einfacher machen.

mfg
sofromt

 

[phor]

Hab ja keine Ahnung, was dein Recoverysystem alles kann Aber wenn ich keine Backups hätte und irgendwie Daten retten müsste, dann würd ichs per WinSCP versuchen. Erst die ganzen wichtigen Sachen einpacken und dann komfortabel rüberkopieren.

 

[Sinepp]

Firewire2002: Vielleicht hältst Du mal die Luft ein wenig an und schraubst Deine Agressivität ein paar Stufen zurück. Wenn Du des Lesens mächtig bist, dann hätte Dir auffallen sollen, was der Threadersteller sich erhofft.

Für Dich fasse ich es aber gerne zusammen:

Wie soll ich nun vorgehen um die Webs sowie die Confixx- und Mail-Einstellungen zu sichern?

Er hat ganz speziell nach dem Sichern von Confixx Einstellungen gefragt. Deine Antwort war unnötig agressiv und völlig am Thema vorbei.

Solangsam kann mans echt nicht mehr lesen,

Scheinbar liest Du es tatsächlich nicht.


Grüße
Sinepp

 

[sofromt]

Hi,

nochmal was anderes, mir ist aufgefallen das Confixx in seinen Backuproutienen nur sendmail sichert, jedoch wird bei meinem Server standardmäßig Exim als MTA verwendet. Habe nun die Exim Konfigurationen per hand gesichert, ist es aber möglich Confixx umzustellen, um standardmäßig die Exim .conf´s zu sichern?

mfg
sofromt